Ang Entrepreneur na Ito ay Napalitan ng SIM kaya Madalas, Nagsimula Siya ng Kumpanya Para Labanan Ito

Sa unang pagkakataon na napalitan siya ng SIM noong 2018, kinuha ito ni Haseeb Awan sa baba at umaasa na T ito mauulit. Pagkatapos ay dumating ang pangalawang insidente. Tapos yung pangatlo. Tapos yung pang-apat. Pagkatapos ng huling swap, huminto si Awan sa pagtitiwala sa kanyang mobile provider para KEEP ligtas ang kanyang account at kinuha niya ang mga bagay sa sarili niyang mga kamay: Nagsimula siya ng sarili niyang kumpanya ng cell service.

Ito ay isang pangunahing pivot mula sa kanyang dating araw na trabaho sa pagpapatakbo ng BitAccess Bitcoin ATM network, isang kumpanyang kanyang itinatag at, kung saan, kung saan, ginawa siyang PRIME target para sa SIM-swapping.

Ang kanyang bagong pakikipagsapalaran, Efani, ay nakatuon sa pagpapahinto sa isang problema na laganap nang lahat para sa mga gumagamit ng Cryptocurrency – isang problema na karamihan sa mga mobile carrier, bilang ebidensya ng sariling mga problema ni Awan, ay nabigong matugunan nang sapat.

Ano ang pagpapalit ng SIM?

Ang SIM-swapping ay isang socially engineered hack kung saan inilalagay ng isang attacker ang numero ng telepono ng biktima sa isang SIM card na kinokontrol nila. Upang ma-hijack ang isang mobile account, maaaring magpanggap ang isang attacker bilang isang biktima upang kumbinsihin ang isang customer service representative na ipagpalit ang numero sa bagong SIM card. Sa mas detalyadong mga kaso, maaaring magkaroon ng SIM swap bilang inside job o sa pamamagitan ng panunuhol sa isang customer service REP.

Ang mga socially engineered na pag-atake na ito ay naging isang pangkaraniwang problema sa larangan ng Bitcoin at Cryptocurrency , lalo na para sa mga personalidad nito na mas mataas ang profile. Karaniwan, ang mga swapper ng SIM ay magtatarget ng mga gumagamit ng Cryptocurrency na may pag-asang ma-access ang kanilang mga exchange account sa pamamagitan ng text-message, two-factor authentication.

Marahil ang pinakasikat na halimbawa ng attack vector na ito ay nagmula kay Michael Terpin, na nawalan ng humigit-kumulang $24 milyon mula sa isang SIM swap, na nag-udyok sa isang $220 na demanda laban sa AT&T. Ang daming iba pang mga gumagamit ng Cryptocurrency naging biktima ng mga naturang pag-atake at pagkatapos ay naubos ang kanilang mga exchange account ng mga pondo. Ang 2020 Twitter hacker ay pantay bahagi ng isang sindikato na nag-orkestra sa pagpapalit ng SIM.

Read More: Tinanggihan ng Hukom ang $200M Claim sa Damages sa AT&T Crypto Hack Lawsuit

Efani: Isang cybersecurity firm na nagbibigay ng mga serbisyo sa telecom

Si Awan ay nasa mahabang listahan ng mga biktima ng Crypto SIM-swap, kaya naman itinatag niya ang Efani noong 2019.

Ang kumpanya ay nagpapatakbo ng BIT tulad ng isang mobile virtual network operator. Ginagamit nito ang imprastraktura ng network ng Verizon, AT&T at T-Mobile para serbisyohan ang mga customer nito. Ngunit umaasa lamang ito sa imprastraktura na ito upang magbigay ng saklaw ng cell. Lahat ng iba pa para sa $99/buwan na plano, mula sa pamamahala ng data hanggang sa serbisyo sa customer, ay pinamamahalaan sa bahay ayon sa sariling mga kasanayan ni Efani.

"Ang aming focus ay cyber security. Ang ibang mga kumpanya ay mga telecom provider na may ibang kumpanya na nagbibigay ng seguridad para sa kanila. Kami ay isang cybersecurity firm na nagbibigay ng mga serbisyo sa telecom."

Ayon kay Awan, karamihan sa mga mobile provider ay nangangailangan lamang ng isang numero ng telepono at account upang gumawa ng mga pagbabago sa isang umiiral na plano. Binibigyan din nila ang mga user ng opsyon na magtakda ng PIN, ngunit kahit na ang layer na ito ng proteksyon ay maaaring ma-bypass kung ang hacker ay sapat na savvy. Ang mas mahirap kontrolin ay ang mga suhol at mga trabaho sa loob.

11 layer ng depensa

Ang solusyon ni Efani sa problemang ito? Ginagawang napakahirap gumawa ng mga pagbabago sa isang account na halos imposible ang pag-atake.

"Hindi ka makakagawa ng pagbabago para sa iyong account sa pamamagitan ng pagtawag sa serbisyo sa customer," sinabi ni Awan sa CoinDesk. "Kahit na tumawag ka, hindi sila awtorisadong gumawa ng anumang mga pagbabago. Para sa isang bagay tulad ng pagpapalit ng SIM card, maaaring kailanganin mong dumaan sa 11 layer ng pagpapatotoo."

Ang 11 layer ng authentication na iyon ay ang maximum na bilang ng mga paraan ng pag-verify na available sa mga user ng Efani, habang ang bawat account ay may minimum na pitong hakbang sa pag-authenticate kapag gustong palitan ng user ang kanilang SIM card. Kasama sa mga pag-verify na ito ang pagbibigay ng huling apat na digit ng credit card sa file, numero ng telepono, numero ng SIM card, at iba pang impormasyon.

"Ginawa namin itong napakahigpit na inaalis nito ang anumang pagkakataon ng pagpapalit ng SIM. Karamihan sa mga tao ay sumusuko pagkatapos ng pangalawa o pangatlong hakbang sa pagpapatunay," sabi ni Awan.

Read More: Social Engineering: Isang Salot sa Crypto at Twitter, Malamang na Hindi Hihinto

Marahil ang pinakamahalagang tampok - at ang huling hakbang para sa pagpapahintulot ng pagbabago sa isang account - ay kinabibilangan ng pagnotaryo ng isang liham ng layunin. Dapat bumisita ang bawat user sa isang notary public para pahintulutan ang pagbabago sa kanilang serbisyo, at ang notaryo na ito ay na-verify ng legal team ni Efani.

Kahit na matapos ang huling hakbang na ito, magkakaroon ng bisa ang pitong araw na "cool-off" bago ma-activate ang bagong SIM card. At T ito maaaring anumang lumang SIM card na binili sa iyong lokal na convenience store, alinman; Nagpapadala si Efani sa bawat may hawak ng account ng dalawang naka-encrypt na SIM card kapag nag-sign up sila sa serbisyo, at ang backup lang ang awtorisadong magdala ng numero ng user kung nawala ang lumang card.

Mga lumang trick, bagong aso

Higit pa sa mga hakbang na ito, nagsasagawa si Efani ng mga pagsusuri sa background ng lahat ng empleyado, nangangailangan ng awtorisasyon ng maraming empleyado upang gumawa ng mga pagbabago sa account at mag-imbak ng impormasyon ng customer sa mga silo ng server upang KEEP nakahiwalay ang data. Bukod pa rito, pinananatiling hiwalay ang mga pangalan at numero ng telepono ng customer.

Ang mga plano ni Efani ay insured din ng hanggang $5 milyon ng Lloyd's of London para sa anumang pagnanakaw o paglabag sa data na maaaring mangyari sa pamamagitan ng mga serbisyo ni Efani.

Sinabi ni Awan, na nag-bootstrap sa kumpanya gamit ang kanyang sariling pananalapi, na kumikita ito at nasa track na umani ng pitong numero sa kita ngayong taon. Humigit-kumulang isang-katlo ng mga kliyente nito ay mga gumagamit ng Cryptocurrency , aniya, idinagdag na ang iba ay karaniwang mga high-profile na indibidwal, kabilang ang mga propesyonal na atleta para sa LA Lakers at San Francisco Giants, iba pang mga celebrity at isang patas na bilang ng mga abogado.

Nang tanungin kung ano ang maaaring gawin upang "ayusin" ang kasalukuyang estado ng pagpapalit ng SIM (nang hindi nagsisimula ng isang nakikipagkumpitensyang negosyo), si Awan ay negatibo sa kapasidad para sa pagbabago sa mga legacy na provider. Karamihan sa mga empleyado ng serbisyo sa customer, na mga kontratista sa simula, "ay hindi sapat na sopistikado upang maunawaan ang antas ng pagbabanta."

Bukod dito, ang pagbabago ng isang bagay na nakakaapekto sa napakakaunting mga customer pa rin ay malamang na wala sa kanilang radar, lalo na kung isasaalang-alang ito ay mangangailangan ng kumpletong pag-overhaul ng kanilang mga proseso.

"Sa palagay ko ay T malulutas ng anumang carrier ang problemang ito. Ang pagpapalit ng kasalukuyang sistema ay mangangailangan ng pag-update ng system at mga proseso para sa bawat mobile account sa America at hindi ito madaling gawin," sabi ni Awan.

"Ang pangalawang problema ay gusto ng mga carrier na maniwala na hindi ito isang isyu. Naaapektuhan nito marahil ang 1% ng populasyon. Parang sinasabing, "Ok, bawat kotse na ibinebenta sa U.S. ay may bulletproof na salamin."